[RESOLU] cheval de troie:trojano-1205

[fanouille]

Bonsoir, je suis dégoutée . Avast vient de me trouver ce cheval de troie alors que je m'apprêtais à suivre les conseils que sacles m'a donné mercredi quand j'ai demandé des conseils pour ne pas choper des merdes car je venais d'installer windows xp familial. Chouette!!! Que dois-je faire, s'il vous plait? Merci beaucoup

Modifié le 13 novembre 2006 par fanouille

[bruce lee]

bonjour fanouille,

 

 

telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip

 

déconnecte toi du net et installe le et installe le sur ton bureau

 

fais un clique droit sur hijackthis.exe puis choisis renommer et appele le fanouille .

 

lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

[fanouille]

Bonsoir bruce lee, merci de m'aider.

 

Logfile of HijackThis v1.99.1

Scan saved at 22:03:07, on 10/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\OLITEC\MOH\Ltmoh.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Fanny\LOCALS~1\Temp\Rar$EX00.547\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Olifax] C:\PROGRA~1\Olifax\Olifax.Exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\OLITEC\MOH\Ltmoh.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: MOH.lnk = C:\Program Files\OLITEC\MOH\LtMoh.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[bruce lee]

re,

 

peux tu me dire le nom du fichier infecté s'il te plait ainsi que le chemin d'acces.

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

4/redemarre en mode normal

 

 

5/Fais un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

NOTE: le scan est a faire avec Internet Explorer

 

 

6/poste le rapport d'AVG Anti spyware 7.5

 

 

@+

[fanouille]

Le cheval de troie win32:trojano-1205 est sur le nom de fichier original A0001209.exe localisé sur C:\Sysrem Volume Information\_restore{1E0D1663-2A7F-416F-AD3C-71B2854D5300}\...

Voilà ce qu'affiche avast.

Sinon, je fais le reste de ce que tu as écrit maintenant.

J'ai des problèmes de connexion puis de déconnexion qui se fait tout seul.

[angelique]

je me permet d'intervenir sur ton sujet bruce lee,pour rassurer fanouille.

 

fanouille;

Suis les conseils de bruce lee, de son dernier message.

Ne t'inquiete pas,ce win32:trojano-1205 est detecté dans ta restauration system( au pire à désactiver puis à réactiver juste derriere-->proprietes systemes/onglet restauration system/cocher "desactiver restauration systeme"/appliquer----------et faire la manip inverse,décoches puis appliquer pour la reactiver)

[fanouille]

Bonjour angelique, merci de ta réponse. La je viens juste de finir de télécharger ewido. Donc après ce que bruce lee m'a dit de faire, je fait ce que tu viens d'écrire si je comprends bien. Mais par quoi j'ai chopé cette merde d'un coup? Et après, est ce que je suis les conseils que sacles m'a donné mercredi dans la partie du forum securité mais pas infecté sous le nom windows xp familial. Merci beaucoup.

J'ai un souci, quand je démarre en mode sans echec, j'ai une grosse écriture et je n'arrive pas à l'enlever. C'est gênant car je n'arrive pas à avoir l'onglet paramètres dans analyse

Modifié le 11 novembre 2006 par fanouille

[fanouille]

C'est bon, j'ai réussi à faire l'analyse AVG AS et voici le résultat:

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 12:19:02 11/11/2006

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\Fanny\Cookies\fanny@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.

:mozilla.23:C:\Documents and Settings\Fanny\Application Data\Mozilla\Firefox\Profiles\ofsjt3g1.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\Fanny\Cookies\fanny@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

:mozilla.6:C:\Documents and Settings\Fanny\Application Data\Mozilla\Firefox\Profiles\ofsjt3g1.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.7:C:\Documents and Settings\Fanny\Application Data\Mozilla\Firefox\Profiles\ofsjt3g1.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.8:C:\Documents and Settings\Fanny\Application Data\Mozilla\Firefox\Profiles\ofsjt3g1.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.9:C:\Documents and Settings\Fanny\Application Data\Mozilla\Firefox\Profiles\ofsjt3g1.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\Fanny\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.33:C:\Documents and Settings\Fanny\Application Data\Mozilla\Firefox\Profiles\ofsjt3g1.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

C:\Documents and Settings\Fanny\Cookies\fanny@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

 

Par contre pour effectuer le scan en ligne, il faut installer avant de pouvoir faire le san où j'ai loupé un truc, merci.

[bruce lee]

bonjour fanouille, angelique

 

fanouille,

 

Par contre pour effectuer le scan en ligne, il faut installer avant de pouvoir faire le san où j'ai loupé un truc, merci.

 

Faut installer l'activeX suis scrupuleusement ce qui est demandé et otut ira bien .

[fanouille]

C'est bon, bruce lee, c'set juste que j'ai pas fait ce qui fallait maintenant kapersky l'initialisation et la mise à jour. Je te tiens au courant par contre, d'après toi y'en a pour longtemps pour enlever le cheval de troie?